Am 16. Jänner 2023 ist die VO (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Betriebsstabilität digitaler Systeme des Finanzsektors („Digital Operational Resilience Act“; DORA) in Kraft getreten. Sie ist von den betroffenen Unternehmen ab 17. Jänner 2025 verpflichtend anzuwenden. Mit DORA sollen bestehende regulatorische Lücken für den gesamten europäischen Finanzsektor geschlossen und die Betriebsstabilität im Finanzsektor gestärkt werden.
Aufgrund der in DORA enthaltenen Ermächtigung für die Europäische Kommission wurden noch folgende Rechtsakte erlassen:
- DELEGIERTE VERORDNUNG (EU) 2024/1502 DER KOMMISSION vom 22. Februar 2024 zur Ergänzung der VO (EU) 2022/2554 des Europäischen Parlaments und des Rates durch Festlegung der Kriterien für die Einstufung von IKT-Drittdienstleistern als für Finanzunternehmen kritisch
- DELEGIERTE VERORDNUNG (EU) 2024/1505 DER KOMMISSION vom 22. Februar 2024 zur Ergänzung der VO (EU) 2022/2554 des Europäischen Parlaments und des Rates durch Festlegung der Höhe der von der federführenden Überwachungsbehörde bei kritischen IKT-Drittdienstleistern zu erhebenden Überwachungsgebühren und der Art und Weise der Entrichtung dieser Gebühren
Zum Wirksamwerden der DORA-VO wurde vom österreichischen Gesetzgeber am 18. April 2024 ein Vollzugsgesetz (DORA-Vollzugsgesetz, DORA-VG) veröffentlicht, das im Finanzausschuss am 27. Juni 2024 die Stimmenmehrheit von ÖVP, SPÖ, Grünen und Neos erhielt und am 3. Juli 2024 im NR beschlossen wurde. Das Gesetz soll insb. den Anwendungsbereich der DORA-VO in Bezug auf die nationalen Institute klarstellen. In Österreich ist die Finanzmarktaufsicht (FMA) für den Vollzug von DORA zuständig.
Durch die von den Unternehmen aufgrund der in DORA normierten Bestimmungen umzusetzenden Maßnahmen sollen folgende Ziele erreicht werden:
- IKT-Risikomanagement (Kapitel II, Art. 5 bis 16)
- Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Kapitel III, Art. 17 bis 23)
- Testen der digitalen operationellen Resilienz einschließlich Threat-led Penetration Testing (TLPT) (Kapitel IV, Art. 24 bis 27)
- Management des IKT-Drittparteienrisikos (Kapitel V, Abschnitt I, Art. 28 bis 30)
- Überwachungsrahmen für kritische IKT-Drittdienstleister (Kapitel V, Abschnitt II, Art. 31 bis 44)
- Vereinbarungen über den Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen (Kapitel VI, Art. 45)
Grundsätzlich stellt sich die Frage, warum die EU zwei Rechtsvorschriften für Cybersicherheit, nämlich die NIS-2-RL und die DORA-VO erlassen hat, die auf den ersten Blick ähnlich anmuten. Bei näherer Betrachtung dieser beiden Rechtsvorschriften zeigen sich jedoch einige wesentliche Unterschiede. Während NIS-2 als RL in nationales Recht umgesetzt werden muss, handelt es sich bei DORA um eine VO, die zeitgleich in allen Mitgliedstaaten in Kraft tritt und unverändert in ihrer Gesamtheit durchgesetzt werden muss. Während die NIS-2-RL veröffentlicht wurde, um das allgemeine Niveau der Cybersicherheit in der EU zu vereinheitlichen (was durch NIS-1 nicht gelungen ist), soll die Umsetzung der Anforderungen der DORA-VO den europäischen Finanzsektor in die Lage versetzen, Cyberangriffen standzuhalten und betriebsfähig zu bleiben. Der Fokus von DORA liegt daher auf der Verfügbarkeit und Integrität von Finanzdienstleistungen.
Auch in Bezug auf den Umsetzungszeitpunkt sowie in der Behördenzuständigkeit ergeben sich Unterschiede. Während die Bußgelder in der NIS-2-RL festgelegt sind, wird die Festlegung und Bewertung der Sanktionen in DORA den Mitgliedstaaten überlassen.
DORA legt besonderen Wert auf die Sicherheit der Lieferkette und geht über die Anforderungen der NIS-2-RL weit hinaus. So müssen Finanzunternehmen die Risiken über die gesamte Lieferkette identifizieren und in entsprechenden Verzeichnissen dokumentieren. Verträge mit IKT-Dienstleistungsunternehmen dürfen nur mit Anbietern abgeschlossen werden, die über hohe und aktuelle Informationssicherheitsstandards verfügen.
DORA gilt – mit wenigen Ausnahmen – grundsätzlich für alle regulierten Finanzunternehmen in der EU und insbesondere auch für IKT-Dienstleister, die von diesen Unternehmen eingesetzt werden. Als lex specialis geht DORA der NIS-2-RL vor. Nichtsdestotrotz kann es zu Mehrfachregulierungen kommen, und zwar für Unternehmen im IT- und TK-Sektor, die sowohl als NIS-2-Einrichtungen als auch als kritische IKT-Dienstleister nach DORA gelten. Im Einzelnen sind gem. § 2 DORA-VG insbesondere folgende Unternehmen des Finanzsektors betroffen: Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Anbieter von Kryptowerte-Dienstleistungen und Emittenten von vermögenswertreferenzierten Token, Handelsplätze, Datenbereitstellungsdienste, Verwaltungsgesellschaften, Unternehmen gem § 1 Z 1 VAG sowie Pensionskassen. Somit fallen so gut wie alle beaufsichtigten Unternehmen des europäischen Finanzsektors unter die Bestimmungen von DORA. Darüber hinaus sind auch kritische IKT-Dienstleister, die für Finanzunternehmen tätig sind, von DORA betroffen, wobei die Einstufung als „kritisch“ vom Finanzunternehmen erfolgt.
Die Anforderungen, die DORA an Finanzunternehmen mit Geschäftstätigkeit in der EU festlegt, werden in technischen Regulierungsstandards (Regulatory Technical Standards, „RTS“) und Durchführungsstandards (Implementing Technical Standards, „ITS“) konkretisiert. Die drei europäischen Aufsichtsbehörden European Banking Authority (EBA), European Insurance and Occupational Pensions Authority (EIOPA) und die European Securities and Markets Authority (ESMA) haben im März und Juli 2024 die zwei finalen Pakete von RTS und ITS der Europäischen Kommission vorgelegt. Bisher wurden aber noch nicht alle dieser Standards von der Kommission angenommen.
